Google lässt die Android-Security schleifen

Googles WebView-Strategie

Tom Wießeckel


Mitte Januar gab es eine beunruhigende Nachricht für alle Android-Nutzer, die nicht auf eine der aktuellen Versionen des Betriebssystems setzen konnten: Sicherheitslücken in den WebViews vor Android KitKat wurden nicht mehr gefixt. Was auf den ersten Blick nicht unbedingt wie ein all zu großes Problem wirkte – immerhin lag das letzte Release von Android 4.3 Jelly Bean weit über ein Jahr zurück – entpuppte sich auf den zweiten Blick als durchaus düsterer Blick auf die Securitygegenwart des mobilen Betriebssystems.

WebView seit KitKat

Das letzte Jelly-Bean-Update (Android 4.3) wurde im Oktober 2013 veröffentlicht und ist somit mittlerweile über ein Jahr alt. Die folgende Android-Version 4.4 KitKat brachte eine grundlegende Änderung mit sich: Die WebView basierte ab diesem Zeitpunkt auf Chromium [1].

Eine weitere Neuerung kam dann mit Android 5.0 Lollipop. Hierin basiert die WebView nicht nur auf Chromium 37, was sich in zahlreichen neuen Features und Performancesprüngen widerspiegelte [2], sondern war darüber hinaus noch vom Betriebssystem entkoppelt. Google überließ es ab diesem Zeitpunkt dem Nutzer, die WebView über den Play Store zu aktualisieren.

Das ermöglichte auf der einen Seite zwar eine schnellere Aktualisierung der WebView-Funktionalitäten, auf der anderen Seite jedoch ist man nun als Entwickler auf den Nutzer angewiesen – es ist gefährlich, immer die neuesten Webfeatures nutzen zu wollen, wenn man nicht mehr sicherstellen kann, dass der Nutzer auch eine bestimmte WebView-Version installiert hat.

Die WebView-Updatestrategie

Ab Lollipop ist das Update der WebView also kein Problem mehr; und zu einem großen Teil wurde diese Verantwortung dem Nutzer übertragen. Ein Update dient aber nicht nur dazu, neue Features oder Bugfixes nachzureichen – oft genug geht es auch darum, sicherheitsrelevante Schwachstellen zu fixen.

Genau hier wurde jedoch eine folgenschwere Entscheidung getroffen. Denn einem Blog-Post von Tod Beadsley folgend [3] entwickelt man bei Google nicht mehr aktiv an Patches für die WebView – während andere Komponenten wie beispielsweise der Media Player durchaus noch mit vom Android-Securityteam entwickelten, von neueren Versionen zurückportierten Patches rechnen könnten.

Android-Versionsverbreitung als Schwachstelle

Sieht man sich die aktuelle Verbreitung der einzelnen Versionen von Android genauer an (Abb. 1), wird das ganze Ausmaß der beschriebenen Situation deutlich. Beinahe zwei Drittel aller Android-Devices sind potenziellen Gefährdungen aus...

Google lässt die Android-Security schleifen

Googles WebView-Strategie

Tom Wießeckel


Mitte Januar gab es eine beunruhigende Nachricht für alle Android-Nutzer, die nicht auf eine der aktuellen Versionen des Betriebssystems setzen konnten: Sicherheitslücken in den WebViews vor Android KitKat wurden nicht mehr gefixt. Was auf den ersten Blick nicht unbedingt wie ein all zu großes Problem wirkte – immerhin lag das letzte Release von Android 4.3 Jelly Bean weit über ein Jahr zurück – entpuppte sich auf den zweiten Blick als durchaus düsterer Blick auf die Securitygegenwart des mobilen Betriebssystems.

WebView seit KitKat

Das letzte Jelly-Bean-Update (Android 4.3) wurde im Oktober 2013 veröffentlicht und ist somit mittlerweile über ein Jahr alt. Die folgende Android-Version 4.4 KitKat brachte eine grundlegende Änderung mit sich: Die WebView basierte ab diesem Zeitpunkt auf Chromium [1].

Eine weitere Neuerung kam dann mit Android 5.0 Lollipop. Hierin basiert die WebView nicht nur auf Chromium 37, was sich in zahlreichen neuen Features und Performancesprüngen widerspiegelte [2], sondern war darüber hinaus noch vom Betriebssystem entkoppelt. Google überließ es ab diesem Zeitpunkt dem Nutzer, die WebView über den Play Store zu aktualisieren.

Das ermöglichte auf der einen Seite zwar eine schnellere Aktualisierung der WebView-Funktionalitäten, auf der anderen Seite jedoch ist man nun als Entwickler auf den Nutzer angewiesen – es ist gefährlich, immer die neuesten Webfeatures nutzen zu wollen, wenn man nicht mehr sicherstellen kann, dass der Nutzer auch eine bestimmte WebView-Version installiert hat.

Die WebView-Updatestrategie

Ab Lollipop ist das Update der WebView also kein Problem mehr; und zu einem großen Teil wurde diese Verantwortung dem Nutzer übertragen. Ein Update dient aber nicht nur dazu, neue Features oder Bugfixes nachzureichen – oft genug geht es auch darum, sicherheitsrelevante Schwachstellen zu fixen.

Genau hier wurde jedoch eine folgenschwere Entscheidung getroffen. Denn einem Blog-Post von Tod Beadsley folgend [3] entwickelt man bei Google nicht mehr aktiv an Patches für die WebView – während andere Komponenten wie beispielsweise der Media Player durchaus noch mit vom Android-Securityteam entwickelten, von neueren Versionen zurückportierten Patches rechnen könnten.

Android-Versionsverbreitung als Schwachstelle

Sieht man sich die aktuelle Verbreitung der einzelnen Versionen von Android genauer an (Abb. 1), wird das ganze Ausmaß der beschriebenen Situation deutlich. Beinahe zwei Drittel aller Android-Devices sind potenziellen Gefährdungen aus...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang